Protección de cuentas y grupos administrativos de Active Directory

En esta página

	Introducción
	Antes de comenzar
	Creación de una nueva cuenta de usuario con credenciales de administradores del dominio
	Protección de la cuenta de administrador
	Seguridad de la cuenta de invitado
	Aumento de la seguridad de los grupos y las cuentas de administración de servicios
	Establecimiento de las prácticas más recomendadas para utilizar grupos y cuentas administrativas
	Información relacionada

Introducción

Un aspecto importante de la protección de la red es la administración de los usuarios y los grupos que tienen acceso administrativo al servicio de directorio de Active Directory. Si particulares con fines maliciosos obtuvieran acceso administrativo a los controladores de dominio de Active Directory, podrían poner en riesgo la seguridad de la red. Estas personas podrían ser usuarios no autorizados que hubieran obtenido contraseñas administrativas o bien administradores legítimos que se encuentren coaccionados o descontentos. Además, no todos los problemas se deben a propósitos maliciosos. Un usuario con acceso administrativo también podría causar problemas sin darse cuenta si no comprende las implicaciones de los cambios de configuración. Por estos motivos, es importante administrar con cuidado los usuarios y grupos que tienen control administrativo sobre los controladores de dominio. (Este artículo contiene vínculos a páginas en inglés.)

La configuración de seguridad predeterminada de Microsoft Windows Server 2003 es suficiente para proteger las cuentas de Active Directory de un gran número de tipos de amenazas. No obstante, se pueden fortalecer algunos valores predeterminados de las cuentas administrativas para mejorar el nivel de seguridad de la red.

En esta guía se ofrecen instrucciones detalladas que explican cómo:

Siga las prácticas más recomendadas descritas en esta guía al administrar la red. Esto contribuirá a reducir el riesgo de que usuarios no autorizados obtengan acceso administrativo a Active Directory con el que puedan dañar de forma intencionada o accidental su organización al copiar o eliminar datos confidenciales o al deshabilitar la red.

IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado siguiendo el menú Inicio que aparece de forma predeterminada al instalar el sistema operativo. Si ha modificado este menú, los pasos podrían variar ligeramente.

Principio de la página

Antes de comenzar

Antes de utilizar esta guía para proteger cuentas y grupos administrativos, complete en primer lugar las tareas que se especifican en "Proteger los controladores de dominio de Windows Server 2003" del kit de orientaciones sobre seguridad.

Para completar los procedimientos proporcionados en esta guía, debe conocer el nombre y la contraseña de la cuenta de administrador integrada o el nombre y la contraseña de una cuenta que sea miembro del grupo de administradores integrado en los controladores de dominio. Determine qué servidor o servidores de la red se ejecutan como controladores de dominio. Un controlador de dominio es un servidor con Windows Server 2003 en el que se ha instalado Active Directory.

Antes de comenzar, deberá comprender estas cuentas y grupos administrativos y cómo los administradores de datos y los administradores de servicios comparten la responsabilidad administrativa. Para ver y administrar grupos y cuentas de Active Directory, haga clic en Inicio. A continuación, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.

Descripción de cuentas y grupos administrativos

Entre las cuentas administrativas de un dominio de Active Directory se incluyen:

Los grupos administrativos de un domino de Active Directory variarán en función de los servicios que se hayan instalado en el dominio. Entre aquellos que se utilizan de forma específica para administrar Active Directory se incluyen:

Descripción de los administradores de datos y los administradores de servicios

En lo que respecta a Active Directory, existen dos tipos de responsabilidad administrativa en Windows Server 2003. Los administradores de servicios son responsables de mantener y ofrecer el servicio de directorio, lo que incluye la administración del controlador de dominio y la configuración del servicio de directorio. Los administradores de datos son responsables de mantener los datos que se almacenan en el servicio de directorio y en las estaciones de trabajo y servidores miembros del dominio.

En una pequeña organización, estas dos funciones las podría realizar una misma persona, pero es importante conocer qué cuentas y grupos predeterminados son administradores de servicios. Los grupos y las cuentas de administración de servicios cuentan con la mayor capacidad dentro del entorno de red y requieren la máxima protección. Son responsables de la configuración de todo el directorio, la instalación y el mantenimiento del software, así como de la aplicación de los Service Packs y las actualizaciones del sistema operativo en los controladores de dominio.

En la siguiente tabla se muestran las cuentas y grupos predeterminados que se utilizan para la administración de servicios, sus ubicaciones predeterminadas, así como una breve descripción de cada uno. Los grupos del contenedor Builtin no se pueden mover a otra ubicación.

Cuentas y grupos de administración de servicios predeterminados

Las cuentas y los grupos que se muestran en esta tabla, así como todos los miembros de estos grupos, están protegidos por un proceso en segundo plano que de forma periódica comprueba y aplica un descriptor de seguridad específico, que es una estructura de datos que contiene información de seguridad asociada a un objeto protegido. Este proceso garantiza que cualquier intento no autorizado que se realice para modificar el descriptor de seguridad de una de las cuentas o grupos administrativos se sobrescribirá con la configuración protegida.

Este descriptor de seguridad está presente en el objeto AdminSDHolder. Esto significa que para modificar los permisos de uno de los grupos de administración de servicios o de cualquiera de sus cuentas miembro, se debe modificar el descriptor de seguridad en el objeto AdminSDHolder de modo que éste se aplique de forma coherente. Ponga especial atención al realizar estas modificaciones ya que con ellas se cambia la configuración predeterminada que se aplicará a todas las cuentas administrativas protegidas. Para obtener más información sobre la modificación de permisos de cuentas de administrador de servicios, consulte "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.

Principio de la página

Creación de una nueva cuenta de usuario con credenciales de administradores del dominio

Si aún no dispone de una cuenta de usuario que sea miembro del grupo de administradores del dominio, y que no sea la cuenta de administrador predeterminada, cree una para realizar las tareas descritas en esta guía. Como administrador de la red, sólo utilizará esta nueva cuenta cuando necesite realizar tareas que requieran credenciales de administrador del dominio. No mantenga iniciada la sesión con esta cuenta una vez que haya terminado de realizar estas tareas. Si el equipo recibe un virus mientras que un administrador del dominio se encuentra con la sesión iniciada, éste se ejecutará en el contexto de dicho administrador del dominio. De este modo, el virus podría utilizar los privilegios del administrador para infectar la estación de trabajo y el resto de la red. Cree otra cuenta de usuario para la administración de datos y el uso diario, como la ejecución de Microsoft Office y el envío y la recepción de correo electrónico, pero no la agregue al grupo de administradores del dominio. Más adelante en este documento se especifican prácticas seguras para la creación y el uso de cuentas administrativas.

Requisitos

•

Para crear una nueva cuenta de usuario con credenciales de administradores del dominio 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. Nota: las capturas de pantalla de este documento reflejan un entorno de prueba y la información podría diferir de la que se muestra en el equipo. 2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Usuarios, seleccione Nuevo y, a continuación, Usuario. 3. Rellene los campos Nombre, Apellidos y Nombre de inicio de sesión de usuario y haga clic en Siguiente. Tal y como se muestra en el ejemplo, puede que sea conveniente que siga una convención de nomenclatura para las cuentas administrativas. Por ejemplo, podría decidir agregar "?ALT" al nombre del usuario administrativo para que se muestre en el nombre de inicio de sesión para la cuenta administrativa. 4. Escriba y confirme la contraseña del usuario, desactive la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión y haga clic en Siguiente. 5. Revise la información de la cuenta y haga clic en Finalizar. 6. Una vez seleccionado el contenedor Usuarios, en el panel de detalles (panel derecho), haga doble clic en el grupo Administradores del dominio. 7. Haga clic en la ficha Miembros. 8. Haga clic en Agregar y, en el cuadro de diálogo Seleccionar usuarios, contactos o grupos, escriba el nombre de inicio de sesión del usuario de la cuenta administrativa que acaba de crear. A continuación, haga clic en Aceptar. 9. Compruebe que la nueva cuenta aparece como miembro del grupo Administradores del dominio.

Principio de la página

Protección de la cuenta de administrador

Cada instalación de Active Directory tiene una cuenta denominada Administrador en cada dominio. Esta cuenta no se puede eliminar ni bloquear. En Windows Server 2003, se puede deshabilitar la cuenta de administrador, aunque ésta se rehabilitará de forma automática al iniciar el equipo en modo de seguridad.

Un usuario con fines maliciosos que intente irrumpir en un sistema normalmente comenzaría por intentar obtener la contraseña de la cuenta de administrador que dispone de mayor capacidad. Por este motivo, deberá cambiar el nombre y el texto del campo Descripción para eliminar cualquier pista que indique que se trata de la cuenta de administrador. Asimismo, tendrá que crear una cuenta de usuario señuelo denominada Administrador que no tenga permisos especiales o derechos de usuario.

Cada vez que cree una contraseña para una cuenta de administrador, asegúrese de que ésta es larga y compleja. Utilice diferentes contraseñas para las cuentas de administrador y de administrador del modo de restauración de SD. Para obtener más información sobre la creación de contraseñas complejas, consulte "Seleccionar contraseñas seguras" del kit de orientaciones sobre seguridad.

Cambio de nombre de la cuenta de administrador predeterminada

Este procedimiento elimina cualquier información obvia que pueda alertar a los atacantes de que esta cuenta dispone de privilegios elevados. Aunque un atacante que haya descubierto la cuenta de administrador predeterminada aún necesitaría la contraseña para utilizarla, al cambiar el nombre de la cuenta de administrador predeterminada se agrega una capa de protección adicional frente al aumento de ataques de privilegio. Utilice un nombre y apellidos ficticios en el mismo formato que los otros nombres de usuario. No utilice el nombre ficticio que se muestra en el ejemplo siguiente.

Requisitos

•

Para cambiar el nombre de la cuenta de administrador predeterminada 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola (panel izquierdo), haga clic en Usuarios. 3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administrador y elija Cambiar nombre. 4. Escriba el nombre y apellidos ficticios y presione Entrar. 5. En el cuadro de diálogo Cambiar nombre de usuario, cambie los valores de Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (versiones anteriores a Windows 2000) para que coindican con su nombre de cuenta ficticia. A continuación, haga clic en Aceptar. 6. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nuevo nombre y seleccione Propiedades. 7. En la ficha General, elimine la información de Descripción "Cuenta para la administración del equipo o dominio" y escriba una descripción similar a la de otras cuentas de usuario (para muchas organizaciones, este campo se quedará en blanco). 8. En la ficha Cuenta, compruebe que los nombres de inicio de sesión son correctos. Nota: este procedimiento sólo cambia los datos de cuenta y el nombre de inicio de sesión de la cuenta de administrador predeterminada, lo que puede ver cualquiera si se las ingenia para enumerar una lista de cuentas en el sistema. Como existen dos cuentas diferentes, este procedimiento no afecta a la capacidad para utilizar la cuenta de administrador del modo de restauración de SD para iniciar el modo de restauración de servicios de directorio.

Creación de una cuenta de administrador señuelo

Este procedimiento agrega una capa de protección adicional al ocultar la cuenta de administrador predeterminada. Un atacante que tenga previsto realizar un ataque de contraseña en la cuenta de administrador puede ser engañado para que ataque de una cuenta sin privilegios especiales.

Requisitos

•

Para crear una cuenta de administrador señuelo 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse en el contenedor Usuarios, seleccione Nuevo y, a continuación, Usuario. 3. En Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y haga clic en Siguiente. 4. Escriba y confirme la contraseña. 5. Desactive la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión. 6. Compruebe que se ha creado la cuenta señuelo y haga clic en Finalizar. 7. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administrador y seleccione Propiedades. 8. En la ficha General, en el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Principio de la página

Seguridad de la cuenta de invitado

La cuenta de invitado permite a los usuarios que no disponen de una cuenta en el dominio iniciar sesión en éste como invitado. Esta cuenta se deshabilita de forma predeterminada y debería permanecer en ese estado, aunque al ocultar la cuenta se agrega una capa de protección adicional frente al acceso no autorizado. Utilice un nombre y apellidos ficticios en el mismo formato que los otros nombres de usuario.

Requisitos

Principio de la página

Aumento de la seguridad de los grupos y las cuentas de administración de servicios

Crear un subárbol de unidad organizativa (OU) controlada en Active Directory y establecerlo con su configuración de seguridad recomendada puede ayudar a proporcionar un entorno más seguro para las estaciones de trabajo y las cuentas de administrador de servicios.

Las OU son contenedores de los dominios que pueden contener otras OU, usuarios, grupos, equipos y otros objetos. Estas OU y OU secundarias forman una estructura jerárquica dentro de un dominio y se utilizan principalmente para agrupar objetos con fines de administración.

Mediante la creación de un subárbol que contenga todas las cuentas de administración de servicios y las estaciones de trabajo administrativas que utilizan, se puede aplicar una configuración de directivas y seguridad específica para aumentar al máximo su protección.

Para crear el subárbol controlado, realice las siguientes tareas:

Creación de la estructura de OU para el subárbol controlado.

Para crear el subárbol, cree tres OU:

Requisitos

•

Para crear la estructura de OU para el subárbol controlado 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en el nombre de dominio, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa. 3. En el cuadro Nombre, escriba Administradores de servicios y haga clic en Aceptar. 4. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en Administradores de servicios, seleccione Nuevo y haga clic en Unidad organizativa. 5. En el cuadro Nombre, escriba Usuarios y grupos y haga clic en Aceptar. 6. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en Administradores de servicios, seleccione Nuevo y haga clic en Unidad organizativa. 7. En el cuadro Nombre, escriba Estaciones de administración y haga clic en Aceptar. 8. Compruebe que la jerarquía de la OU se asemeja a la siguiente estructura, con Administradores de servicios en el nivel que hay debajo del nombre de dominio, y Usuarios y grupos y Estaciones de administración en el nivel bajo Administradores de servicios.

Configuración de los permisos de las OU del subárbol controlado

La realización de los siguientes pasos puede ayudar a limitar el acceso al subárbol controlado de forma que sólo los administradores de servicios puedan administrar la pertenencia de las estaciones de trabajo y los grupos de administrador de servicios:

Requisitos

•

Para configurar permisos en la OU Administradores de servicios 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. 2. En el menú Ver, seleccione Características avanzadas. 3. Haga clic con el botón secundario del mouse en la OU Administradores de servicios y seleccione Propiedades. 4. En la ficha Seguridad, haga clic en Avanzadas para ver todas las entradas de permisos que existen para la OU. 5. Desactive la casilla de verificación Permitir que los permisos heredables del primario se transmitan a este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aquí de forma explícita. 6. En el cuadro de diálogo Seguridad, haga clic en Quitar. Esta acción elimina los permisos que se heredaron del dominio. 7. Quite los permisos restantes. Seleccione todas las entradas de permisos restantes y haga clic en Quitar. 8. Para cada grupo que se muestra en la columna Nombre de la tabla siguiente, agregue una tabla de permiso de conformidad con las columnas Acceso y Se aplica a, tal y como se muestra en la tabla. Para agregar una entrada, haga clic en Agregar. A continuación, en el cuadro de diálogo Seleccionar usuario, equipo o grupo, haga clic en Avanzadas. En el cuadro de diálogo expandido, haga clic en Buscar ahora. En el cuadro de resultados de la búsqueda, seleccione el nombre del grupo y haga doble clic en Aceptar. Se abrirá el cuadro de diálogo de entrada de permiso, donde puede seleccionar los elementos Acceso y Se aplica a de conformidad con la tabla. Configuración de permisos para la OU Administradores de servicios Tipo Nombre Acceso Se aplica a Permitir SISTEMA Control total Este objeto y todos los secundarios Permitir Administradores de organización Control total Este objeto y todos los secundarios Permitir Administradores del dominio Control total Este objeto y todos los secundarios Permitir Administradores Control total Este objeto y todos los secundarios Permitir Acceso compatible con versiones anteriores de Windows 2000 Mostrar contenido Leer todas las propiedades Leer permisos Objetos de usuario Permitir Acceso compatible con versiones anteriores de Windows 2000 Mostrar contenido Leer todas las propiedades Leer permisos Objetos InetOrgPerson Permitir Controladores de dominio empresariales Mostrar contenido Leer todas las propiedades Leer permisos Este objeto y todos los secundarios Permitir Usuarios autenticados Mostrar contenido Leer todas las propiedades Leer permisos Este objeto y todos los secundarios

Desplazamiento de grupos de administrador de servicios a la OU Usuarios y grupos

Mueva los siguientes grupos de administrador de servicios de su ubicación actual en el directorio a la OU Usuarios y grupos en el subárbol controlado:

Los grupos integrados (Administradores, Operadores de servidores, Operadores de cuentas y Operadores de copia de seguridad) no se pueden mover de su contenedor predeterminado al subárbol controlado. No obstante, los grupos integrados están protegidos de forma predeterminada en Windows Server 2003 por AdminSDHolder.

Si su organización no ha creado ningún subgrupo anidado o derechos de administración de servicios delegados para cualquier grupo, sólo tendrá que mover Administradores del dominio, Administradores de organización y Administradores de esquema.

Requisitos

•

Para mover grupos de administrador de servicios a la OU Usuarios y grupos 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola (panel izquierdo), haga clic en Usuarios. 3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administradores del dominio y seleccione Mover. 4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Usuarios y grupos y, a continuación, en Aceptar. 5. Compruebe que el grupo de administradores del dominio está ahora en la OU Usuarios y grupos. 6. Repita el procedimiento para todos los grupos de administrador de servicios que se enumeran arriba. Observe que si tiene grupos anidados bajo grupos integrados como Administradores o grupos que ha creado previamente y a los que ha asignado privilegios administrativos, su ubicación original podría no ser el contenedor Usuarios.

Desplazamiento de cuentas de usuario de administrador de servicios a la OU Usuarios y grupos

Mueva las siguientes cuentas de usuario de sus ubicaciones actuales en el directorio a la OU Usuarios y grupos en el subárbol controlado:

Tal y como se recomienda, cada administrador de servicios debería tener dos cuentas: una para las obligaciones de administración de servicios y otra para la administración de datos y el acceso de usuario habitual. Coloque las cuentas de usuario administrativas en la OU Usuarios y grupos en el subárbol controlado. Si estas cuentas ya existen en algún otro lugar del directorio, muévalas ahora al subárbol. Las cuentas de usuario habituales para esos administradores no se deberían colocar en este subárbol controlado. Estas cuentas permanecerán en su ubicación original: en el contenedor Usuarios o en una OU utilizada por la organización para mantener cuentas de usuario.

Requisitos

Desplazamiento de cuentas de estaciones de administración a la OU Estaciones de administración

Mueva las cuentas de equipo para estaciones de trabajo que utilizan los administradores en la OU Estaciones de administración en el subárbol controlado.

IMPORTANTE: no mueva cuentas de controlador de dominio de la OU Controladores de dominio, aunque algunos administradores inicien sesión en las mismas para realizar tareas administrativas. El desplazamiento de estas cuentas alterará la aplicación coherente de directivas de controlador de dominio en todos los dominios, motivo por el cual no se admite.

Requisitos

Habilitación de la auditoría en el subárbol controlado.

La auditoría y el seguimiento de las adiciones, eliminaciones y cambios en las cuentas de administrador de servicios, estaciones de trabajo y directivas pueden ayudar a identificar cambios inadecuados o no autorizados que son indicadores frecuentes de acciones o intentos no autorizados de acceso al sistema. Si suponemos que ha habilitado la auditoría en los controladores de dominio de conformidad con las recomendaciones de "Proteger los controladores de dominio de Windows Server 2003" del kit de orientaciones sobre seguridad, la habilitación de la auditoría en la OU Administradores de servicios creará un registro de auditoría de seguridad que realizará un seguimiento de dichos cambios. Supervisar en el registro de auditoría de seguridad los posibles cambios en el subárbol controlado y comprobar que los cambios son legítimos puede ayudar a identificar el uso no autorizado. Para obtener acceso al registro de auditoría de seguridad, haga clic en Inicio, seleccione Herramientas administrativas, haga clic en Visor de sucesos y, a continuación, en Seguridad.

Requisitos

•

Para habilitar la auditoría en el subárbol controlado 1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y equipos de Active Directory. 2. En el menú Ver, seleccione Características avanzadas. 3. Haga clic con el botón secundario del mouse en la OU Administradores de servicios y seleccione Propiedades. 4. En la ficha Seguridad, haga clic en Avanzadas y seleccione la ficha Auditoría para ver la configuración de auditoría actual de la OU. Observe que en este ejemplo la configuración actual se hereda del dominio. 5. Haga clic en Agregar para crear una entrada de auditoría que se aplicará a la OU Administradores de servicios y a sus OU secundarias. 6. En el cuadro Escriba el nombre de objeto a seleccionar, escriba Todos y haga clic en Aceptar. 7. En el cuadro Acceso, seleccione tanto Con éxito como Error para los elementos de acceso que se muestran en la tabla siguiente. A continuación, haga clic en Aceptar. Observe que cuando activa algunas casillas de verificación, se seleccionan otros elementos de acceso de forma automática. Estos elementos no se deberían cambiar. Configuración de auditoría en la OU Administradores de servicios Tipo Nombre Acceso Se aplica a Todo Todos Escribir todas las propiedades Este objeto y todos los secundarios Todo Todos Eliminar Este objeto y todos los secundarios Todo Todos Eliminar subárbol Este objeto y todos los secundarios Todo Todos Modificar permisos Este objeto y todos los secundarios Todo Todos Modificar propietario Este objeto y todos los secundarios Todo Todos Todas las escrituras validadas Este objeto y todos los secundarios Todo Todos Todos los permisos extendidos Este objeto y todos los secundarios Todo Todos Crear todos los objetos secundarios Este objeto y todos los secundarios Todo Todos Eliminar todos los objetos secundarios Este objeto y todos los secundarios

Principio de la página

Establecimiento de las prácticas más recomendadas para utilizar grupos y cuentas administrativas

El establecimiento de las siguientes prácticas más recomendadas para utilizar grupos y cuentas administrativas puede contribuir a reducir la probabilidad de que los equipos y la red se vean afectados por usuarios no autorizados que intenten obtener acceso a una cuenta con elevados derechos de acceso o usuarios legítimos que alteren de forma no intencionada el funcionamiento de la red al hacer un mal uso de sus derechos administrativos:

Limitación del número de cuentas de administrador de servicios

Mantener la pertenencia de cuentas de administrador de servicios al mínimo necesario en la organización es una forma clave de limitar el uso no autorizado. Para las pequeñas organizaciones, normalmente basta con dos cuentas que sean miembro del grupo de administradores del dominio. La limitación de estas pertenencias reduce el número de posibles cuentas administrativas cuya seguridad puede verse en riesgo por usuarios con fines maliciosos. Las tareas que realizan los administradores de servicios se deberían limitar a cambiar la configuración de servicio de Active Directory y reconfigurar controladores de dominio.

No utilice cuentas de administrador de servicios para las tareas administrativas diarias, como la administración de servidores miembro; en su lugar utilice la cuenta de usuario convencional.

Para utilizar la cuenta de usuario convencional para la administración de servicios miembro y de cuentas, se puede colocar los objetos que se van a administrar en una OU independiente y, a continuación, convertir la cuenta de usuario convencional en miembro de un grupo con permisos para administrar esa OU.

Se requieren credenciales de administradores del dominio para realizar los siguientes pasos:

Separación de cuentas de usuario y administrativas para usuarios administrativos

Cree dos cuentas para cada usuario que desempeñe una función de administrador de servicios: una cuenta de usuario normal que se utilizará para la administración de datos y tareas normales, y una cuenta administrativa de servicios que se empleará para realizar tareas de administración de servicios. La cuenta de administración de servicios no debería tener el correo habilitado o utilizar para ejecutar aplicaciones que se utilicen cada día, como Microsoft Office, o para explorar Internet. Asegúrese de proporcionar siempre contraseñas distintas para las dos cuentas. Estas medidas reducen la exposición de las cuentas al mundo exterior y el tiempo que permanece iniciada la sesión de las cuentas administrativas en el sistema.

Asignación de personal de confianza

Los administradores de servicios controlan la configuración y el funcionamiento del servicio de directorio. Por lo tanto, esta responsabilidad sólo se debería proporcionar a usuarios de confianza que hayan demostrado hacer un uso responsable de la propiedad y que comprendan totalmente el funcionamiento del directorio. Deberían estar completamente familiarizados con las directivas de la organización en lo que respecta a la seguridad y las operaciones, así como haber demostrado su voluntad de aplicar esas directivas.

Limitación de derechos de administrador a los derechos que se requieren en realidad

Active Directory contiene un grupo integrado denominado Operadores de copia de seguridad. Se considera que los miembros de este grupo son administradores de servicios porque los miembros del grupo tienen el privilegio de iniciar sesión de forma local y restaurar archivos, incluidos archivos del sistema operativo, en controladores de dominio. La pertenencia al grupo Operadores de copia de seguridad de Active Directory debería limitarse a aquellos individuos que realicen una copia de seguridad y restauren controladores de dominio.

Todos los servidores miembro también contienen un grupo Operadores de copia de seguridad integrado que es local a cada servidor. Aquellas personas que sean responsables de realizar copias de seguridad de aplicaciones en un servidor miembro (por ejemplo, Microsoft SQL Server) deberían ser miembros del grupo Operadores de copia de seguridad local de ese servidor. Estos usuarios no deberían ser miembros del grupo Operadores de copia de seguridad de Active Directory.

En un servidor que se ha dedicado a la función de controlador de dominio, puede reducir el número de miembros en el grupo Operadores de copia de seguridad. Si es posible, los controladores de dominio deberían ser dedicados, aunque en las organizaciones más pequeñas se podrían utilizar para ejecutar otras aplicaciones. En este caso, también se debe confiar en los usuarios que son responsables de realizar copias de seguridad de las aplicaciones en el controlador de dominio como administradores de servicios ya que cuentan con los privilegios que les permiten restaurar archivos, incluidos archivos de sistema, en controladores de dominio.

Evite utilizar el grupo Operadores de cuentas para delegar estrictamente una tarea de "administración de datos", como la administración de cuentas. Los permisos de directorio predeterminados proporcionan a este grupo la capacidad de modificar las cuentas de equipo de controladores de dominio, incluida su eliminación. De forma predeterminada, no existen miembros del grupo Operadores de cuentas y su pertenencia debería dejarse vacía.

Control del proceso de inicio de sesión administrativo

Los miembros de los grupos Administradores, Administradores de organización y Administradores del dominio representan las cuentas con más funciones del dominio. Para reducir los riesgos de seguridad, puede ser recomendable realizar pasos adicionales para aplicar credenciales administrativas seguras, como requerir tarjetas inteligentes para el inicio de sesión administrativo o requerir dos formas de identificación, siendo cada forma mantenida por un administrador diferente. Estas medidas adicionales se tratan en "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.

Seguridad de estaciones de trabajo de administrador de servicios

Además de limitar el acceso a los recursos que se almacenan en los controladores de dominio y obtener acceso a la información que se almacena en el directorio, también puede mejorar la seguridad controlando estrictamente las estaciones de trabajo que utilizan los administradores de servicios para desempeñar sus funciones administrativas. Los administradores de servicios sólo deberían iniciar sesión en equipos bien administrados, es decir, en equipos donde se hayan aplicado todas las actualizaciones de seguridad y tengan al día el software antivirus instalado. Si se utilizan credenciales de administrador de servicios en un equipo que no está bien administrado, se corre el riesgo de comprometer las credenciales si alguien con fines maliciosos ha irrumpido de manera ilícita en dicho equipo.

Para obtener más información sobre cómo restringir los administradores a estaciones de trabajo específicas y otras medidas adicionales, consulte "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.

Descripción general de la delegación de datos

En una pequeña organización, es posible que sólo haya uno o dos usuarios administrativos, por lo que la delegación de datos podría no ser necesaria. Sin embargo, a medida que crece la organización, podría ser conveniente designar administradores de datos y delegar partes de administración de datos en los mismos. Los administradores de datos son responsables de administrar datos que se almacenan en el directorio y en los equipos que son miembros del dominio. Estos administradores no tienen control sobre la configuración y provisión del servicio de directorio en sí mismo; controlan los subconjuntos de objetos del directorio. Al utilizar permisos de objetos que se almacenan en el directorio, se puede limitar el control de una cuenta de administrador dada a áreas muy específicas del directorio. Los administradores de datos también administran equipos miembros de su dominio (que no sean controladores de dominio). Administran recursos locales, como recursos compartidos de impresión y archivos en servidores locales, y también administran las cuentas de grupo y de usuario para su propia parte de la organización. Los administradores de datos pueden desempeñar sus responsabilidades desde estaciones de trabajo de administración y no necesitan acceso físico a controladores de dominio.

La delegación de la administración de datos se realiza mediante la creación de grupos, otorgando los permisos y derechos de usuario adecuados a esos grupos y aplicando la configuración de directiva de grupo a los miembros de los mismos. Una vez se hayan completado estos pasos, la delegación consiste básicamente en agregar cuentas de usuario a los grupos que se han creado. La parte fundamental de esta operación consiste en obtener un acceso adecuado y aplicar las directivas correspondientes, según el principio de mínimo privilegio, para maximizar la seguridad, al tiempo que aún se permite a los administradores desempeñar sus funciones delegadas.

Para obtener más información sobre la delegación de administración de datos, consulte "Best Practices for Delegating Active Directory Administration" en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22707.

Principio de la página

Información relacionada

Para obtener más información general sobre cuentas integradas y la migración de Microsoft Windows NT 4.0 a Active Directory, consulte:

Principio de la página